Ich war ein paar Tage beruflich unterwegs und muss deshalb noch ein paar Beitr\u00e4ge nachschreiben. Aber keine Sorge, alles was sich so auf meiner Liste f\u00fcr das Blog angesammelt hat, wird hier die Tage auch nachgetragen.<\/p>\n
Der UnrealIRCd hat eine Backdoor. Na gut, das kann ja mal passieren. Interessant in diesem Zusammenhang sehe ich vor allem drei Punkte:<\/p>\n
1. Die L\u00fccke wurde erst nach Monaten entdeckt. Das zeigt erstens wieder, dass eine Software nur weil sie Quelloffen ist, nicht automatisch sicherer sein muss. Insbesondere Source Code Audits sind gar nicht so einfach. F\u00fcr PHP, Perl, Python und so traue ich das mir und meinen Kollegen hier noch gut zu. Bei C und Java wird es schon eng. Sp\u00e4testens bei C++ und exzessivem Einsatz von Templates h\u00f6rt jedoch jedes Verst\u00e4ndnis des Source Codes auf.<\/p>\n
2. Jetzt kann man nat\u00fcrlich noch diskutieren, was f\u00fcr eine Source Code Verwaltung da eingesetzt wurde und warum die auch nichts bemerkt hat. Ist die so schlecht oder hat keiner aufgepasst oder wurde die Verwaltung gleich mitgehackt?<\/p>\n
3. Und zu guter Letzt, warum wird Software nicht digital signiert. In dem Zusammenhang schreibt Heise: „Damit dieser Vorfall sich nicht wiederholt, wollen die Entwickler ihre Releases wieder mittels PGP\/GPG signieren“. Also wurde wohl schon mal signiert. Warum jetzt nicht mehr? Faulheit oder Nachl\u00e4ssigkeit?<\/p>\n
Tja, so wird das nichts mit der Open Source Security. Das haben kommerzielle Anbieter wie Microsoft schon lange gelernt. Da m\u00fcssen die freien Entwickler noch nachziehen. Und so teuer ist eine digitale Signatur auch nicht. Genau genommen kostenlos weil alle ben\u00f6tigten Programme bei Linux schon vorhanden sind.<\/p>\n